Java web知识框架梳理（五）

1.JDBC:Java DataBase Connectivity  

         可以为多种关系型数据库DBMS 提供统一的访问方式，用Java来操作数据库

2.JDBC API 主要功能：

     三件事，具体是通过以下类/接口实现：
 

    DriverManager // 管理jdbc驱动
    Connection  //连接（通过DriverManager产生）
    Statement（PreparedStatement）//增删改查  （通过Connection产生 ）
    CallableStatement //调用数据库中的 存储过程/存储函数  （通过Connection产生 ）
    Result //返回的结果集  （上面的Statement等产生 ）

    Connection//产生操作数据库的对象：
    createStatement();//Connection产生Statement对象：
    prepareStatement();//Connection产生PreparedStatement对象
    prepareCall();//  Connection产生CallableStatement对象：

    Statement操作数据库：
    executeUpdate();//增删改：
    executeQuery();//查询：

    ResultSet//保存结果集 select * from xxx
    next();//光标下移，判断是否有下一条数据；true/false
    previous();// true/false
    getXxx(字段名|位置);//获取具体的字段值 

    

PreparedStatement操作数据库：
public interface PreparedStatement extends Statement
因此  增删改：

executeUpdate()

 查询： 

 executeQuery();

 赋值操作

setXxx();

 PreparedStatement与Statement在使用时的区别：
1.Statement:

sql
executeUpdate(sql)

2.
PreparedStatement:

String sql(可能存在占位符?);
prepareStatement(sql)
setXxx()//替换占位符？
executeUpdate();

推荐使用PreparedStatement：原因如下：
1.编码更加简便（避免了字符串的拼接）

String name = "zs" ;
int age = 23 ;
//对于stmt;
String sql =" insert into student(stuno,stuname) values('"+name+"',  "+age+" )    " ;
stmt.executeUpdate(sql);
//对于pstmt;
String sql =" insert into student(stuno,stuname) values(?,?) " ;
pstmt = connection.prepareStatement(sql);//预编译SQL
pstmt.setString(1,name);
pstmt.setInt(2,age);

2.提高性能(因为 有预编译操作，预编译只需要执行一次)
 举例：需要重复增加100条数 

//对于stmt:
String sql =" insert into student(stuno,stuname) values('"+name+"',  "+age+" )    " ;
for(100)
stmt.executeUpdate(sql);
//对于pstmt:
String sql =" insert into student(stuno,stuname) values(?,?) " ;
pstmt = connection.prepareStatement(sql);//预编译SQL
pstmt.setString(1,name);
pstmt.setInt(2,age);
for( 100){
pstmt.executeUpdate();
}

3.安全（可以有效防止sql注入）
sql注入： 将客户输入的内容  和 开发人员的SQL语句 混为一体

stmt:存在被sql注入的风险  
(例如输入  用户名：任意值 ' or 1=1 --   密码：任意值)
分析：对于stmt

select count(*) from login where uname='任意值 ' or 1=1 --' and upwd ='任意值'  ;
select count(*) from login where uname='任意值 ' or 1=1 ;
select count(*) from login ;

对于 pstmt

select count(*) from login where uname='"+name+"' and upwd ='"+pwd+"';

可以有效防止sql注入，推荐使用pstmt

3.jdbc访问数据库的具体步骤：

a.导入驱动，加载具体的驱动类
b.与数据库建立连接
c.发送sql，执行
d.处理结果集 （查询）

public static void update() {// 增删改
		Connection connection = null;
		Statement stmt = null;
		try {
			// a.导入驱动，加载具体的驱动类
			Class.forName("oracle.jdbc.OracleDriver");// 加载具体的驱动类
			// b.与数据库建立连接
			connection = DriverManager.getConnection(URL, USERNAME, PWD);
			// c.发送sql，执行(增删改、查)
			stmt = connection.createStatement();
			//String sql = "insert into student values(1,'zs',23,'s1')";
//			String sql = "update student set STUNAME='ls' where stuno=1";
			String sql = "delete from student where stuno=1";
			// 执行SQL
			int count = stmt.executeUpdate(sql); // 返回值表示 增删改 几条数据
			// d.处理结果
			if (count > 0) {  
				System.out.println("操作成功！");
			}
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		} catch(Exception e) {
			e.printStackTrace();
		}
		finally {
			try {
				 if(stmt!=null) stmt.close();// 对象.方法
				 if(connection!=null)connection.close();
			}catch(SQLException e) {
				e.printStackTrace();
			}
		}
	}

4.数据库驱动    

	驱动jar	具体驱动类	连接字符串
Oracle	ojdbc-x.jar	oracle.jdbc.OracleDriver	jdbc:oracle:thin:@localhost:1521:ORCL
MySQL	mysql-connector-java-x.jar	com.mysql.jdbc.Driver	jdbc:mysql://localhost:3306/数据库实例
SqlServer	sqljdbc-x.jar	com.microsoft.sqlserver.jdbc.SQLServerDriver	jdbc:microsoft:sqlserver:localhost:1433;databasename=数据库实例名